■

業(yè)務(wù)和IT團隊需要協(xié)作

這句話聽起來確實很有道理，公司的IT和業(yè)務(wù)方面確實可以在風險管理問題上進行交流。

公司應(yīng)當首先從上至下都重視濃厚的安全文化，并且每個人都清楚地理解自己的角色。高級管理部門強調(diào)安全并且使每個人都清楚自己的風險和安全責任是非常關(guān)鍵的。如果在整個公司的不同層次中達不成一致，公司的某個人就有可能不理解自己在風險管理和風險減輕鏈條中的重要性。

管理部門強調(diào)安全確實很重要，但問題并不是管理層如何高調(diào)地強調(diào)風險管理。公司應(yīng)當成立由不同部門（其中包括技術(shù)領(lǐng)班、首席安全官、求助臺的雇員以及將風險管理作為其日常工作一部分的任何人）的重要成員組成的委員會，進行全方位的商討和研究。

由此，我們可以使風險評估成為整個企業(yè)中每個過程的一部分。在進行變更管理或事件管理時，如果我們沒有進行風險評估，也沒有在IT中充分利用此過程，就有可能遺漏某些關(guān)鍵方面。一旦我們理解了風險，就可以管理它。

業(yè)務(wù)方面需要承擔更多責任

企業(yè)中的一個重大問題和挑戰(zhàn)是，對于本應(yīng)由業(yè)務(wù)方面處理的風險管理過程，IT團隊有時承擔了其中的太多責任。

從本質(zhì)上說，風險和安全是業(yè)務(wù)問題，而非技術(shù)問題，而且也不是軟件問題。安全和風險問題是可以由技術(shù)和軟件支持并解決的，但從本質(zhì)上說，風險是一個業(yè)務(wù)問題。因而，業(yè)務(wù)方面需要對風險管理承擔最終的責任。建議企業(yè)首先將安全從IT功能中移除出去，因為安全應(yīng)當成為首席風險官或CFO的責任。

那些在IT內(nèi)部實現(xiàn)的安全功能其有效性最終將大打折扣，并且成本高昂，無法真正解決企業(yè)今天面臨的全部業(yè)務(wù)風險問題。

那些將安全功能完全交給IT的公司在觀念上已經(jīng)落伍了，這些公司需要努力將安全定位為一種價值和業(yè)務(wù)的促進者，使安全真正成為一種可以使業(yè)務(wù)成長和繁榮的利器。一旦此觀念得到認可和執(zhí)行，業(yè)務(wù)將更容易支持基礎(chǔ)架構(gòu)的變更或新安全措施的施行，從而更好地減輕業(yè)務(wù)風險。技術(shù)不應(yīng)成為最后的措施

對于風險管理和安全而言，技術(shù)可能很重要，但技術(shù)需要遵循策略和文化。多數(shù)公司甚至無需接觸軟件即可達到三級水平的安全，只有那些需要最高級安全特性和風險管理技術(shù)的公司才需要軟件和其它方案，才能達到更高級的安全成熟水平。

但是，有些方案可有助于風險管理過程。例如，公司可以使用GRC（管理、風險和合規(guī)）平臺來確保事件和風險管理的跟蹤。

公司可以部署質(zhì)量保證系統(tǒng)來幫助維護操作標準和變更管理等過程。關(guān)鍵是，你首先要理解公司面臨的風險，并保證所有相關(guān)雇員都知道自己的角色，然后你需要利用可用的技術(shù)來支持策略。